NIS2 er et nyt EU-direktiv, som skal være implementeret i mange danske virksomheder i oktober 2024. Og selv om der er knapt et år til, bør din virksomhed forberede sig på det nu. Direktivet stiller nemlig større krav til cybersikkerheden, og de nødvendige tiltag kan tage tid at implementere, afhængigt af virksomhedens nuværende sikkerhedsniveau.
Hvem skal implementere NIS2?
Det skal de virksomheder, som vurderes at være af samfundskritisk betydning, dvs. dem, der opererer inden for energi, transport, finans, sundhed, drikkevand, spildevand, infrastruktur (både digital og fysisk), offentlig forvaltning, post, affaldshåndtering, kemikalier, fødevareproduktion m.m.
Industriens fond har kortlagt hvilke virksomheder der er berørt af NIS2.
Der er foreløbig tale om flere end 1.000 danske virksomheder. Og selv om din virksomhed ikke direkte er en af dem, bør du alligevel sørge for at opfylde de nye krav, for også de virksomheder, som er leverandører til dem, vil skulle leve op til kravene for at kunne fortsætte samarbejdet.
Hvad er formålet med NIS2?
Vi er som samfund mere og mere afhængige af digitale systemer og netværk, og truslerne bliver stadigt større og mere avancerede. Derfor skal vi øge cybersikkerheden – altså sikre mod, at samfundskritiske områder kan lammes af digitale angreb.
Virksomheden skal altså leve op til nogle minimumskrav, som er formuleret sådan her i direktivet:
a) politikker for risikoanalyse og informationssystemsikkerhed
b) håndtering af hændelser
c) driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
e) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
f) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
g) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
h) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
i) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
j) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.
Virksomhederne skal indrapportere hændelser, der påvirker cybersikkerheden, til myndighederne, og det vil være ledelsens ansvar, at de nye krav overholdes. Sker det ikke, kan konsekvensen være store bøder og suspendering af ledelsen.
De øgede krav er en fordel for virksomhederne selv
Det er altså en stor og alvorlig opgave, der venter virksomhederne, men de tiltag, virksomhederne er nødt til at iværksætte, vil samtidig øge trygheden og sikkerheden i den enkelte virksomhed, og dermed styrke den. Ifølge cyberbarometer.dk giver det endda konkurrencefordele i form af effektivitet, nytænkning, tillid og øget bundlinje. Vil du læse hele NIS2-direktivet, findes det her: https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32022L2555&qid=1701198050883